Sicherheitslücken in Open Source Software (OSS) sorgen weltweit immer wieder für Aufsehen. Als Beispiele aus der jüngeren Vergangenheit haben vor allem Log4Shell oder die korrumpierten NPM-Bibliotheken für Schlagzeilen gesorgt. Um die Sicherheit von Projekten, die auf offenen Lösungen basieren, zu erhöhen, hat die Open Source Security Foundation (OpenSSF) das Projekt Alpha-Omega vorgestellt.

Bei einem Treffen im Weissen Haus sei nun zusammen mit US-Regierungs- und Industrievertretern eine Vereinbarung für ein Projekt für mehr Sicherheit bei OSS abgeschlossen worden. Open-Source-Projekte sollen dabei durch die direkte Einbindung von Software-Sicherheitsexperten und automatisierte Sicherheitstests verbessert werden. Neben der Regierung wird das Vorhaben auch von Microsoft und Google mit einer Anfangsinvestition von 5 Millionen Dollar unterstützt.

Insgesamt soll das Alpha-Omega-Projekt die Sicherheit der globalen OSS-Lieferkette verbessern, indem direkt mit den Projektbetreuern zusammen­arbeitet wird. So soll systematisch nach neuen, noch unentdeckten Schwach­stellen in offenem Code gesucht werden, um diese zu beheben. Der Projektteil Alpha soll dabei mit den Betreuern der kritischsten Open-Source-Projekte zusammenarbeiten und sie bei der Identifizierung und Behebung von Sicher­heits­lücken unterstützen. Im Projektteil Omega sollen über 10'000 weit ver­breitete OSS-Projekte identifiziert und mit einer automatisierten Sicher­heits­analysen durchleuchtet werden.

"Open Source Software ist ein wichtiger Bestandteil der kritischen Infrastruktur der modernen Gesellschaft. Deshalb müssen wir alle notwendigen Massnahmen ergreifen, um sie und unsere Software-Lieferketten sicher zu halten", sagte Brian Behlendorf, General Manager der OpenSSF. Das Projekt Alpha-Omega unter­stütze diese Bemühungen, indem es die Sicherheit von Open-Source-Projekten direkt verbessert und proaktiv nach Schwachstellen sucht, diese behebt und so grössere Einschränkungen für die Projekte verhindert.